检测

RHEL 6:pacemaker (RHSA-2013:1635)

medium Nessus 插件 ID 71012

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 pacemaker 程序包修复了一个安全问题和多个缺陷并添加了多种增强,现在可用于 Red Hat Enterprise Linux 6。

Red Hat 安全响应团队将此更新评级为具有低危安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

Pacemaker 是一个高可用性群集资源管理器,内含强大的策略引擎。

在 Pacemaker 于某些情况下执行认证和处理远程连接的方式中发现拒绝服务缺陷。当 Pacemaker 配置为允许远程群集信息库 (CIB) 配置或资源管理时,远程攻击者可利用此缺陷导致 Pacemaker 无限期阻断(阻止其服务于其他请求)。(CVE-2013-0281)

注意:Red Hat Enterprise Linux 6 中的默认 Pacemaker 配置禁用了远程 CIB 管理功能。

pacemaker 程序包已升级到上游版本 1.1.10,其提供了对之前版本的多项缺陷补丁和增强:

* Pacemaker 不再假设未知的 cman 节点会安全停止。

* 核心转储文件现在将所有退出代码转换为“errno”正值。

* Pacemaker 确保隔离失败次数过多后恢复到稳定状态,并且在要求隔离的节点仍然活动时启动关机。

* crm_error 工具添加了列出和打印错误符号的功能。

* crm_resource 命令可重新探测个别资源,并且实现“--ban”选项以让资源离开节点。“--clear”选项已替换“--unmove”选项。此外,现在使用“--force”选项时,crm_resource 支持 OCF 跟踪。

* IPC 机制恢复了 haclient 组成员连接到群集的功能。

* 策略引擎后台程序允许在没有 quorum 的情况下隔离当前成员关系中的活动节点。

* 现在显示匿名克隆状态时,策略引擎禁止无意义的 ID,支持单一节点的维护模式,并且正确处理在操作之前恢复的资源。

* 现在会检查 XML 配置文件文件是否包含非打印字符,在导出 XML 文本时将其替换为同等的八进制字符。
此外,为防止锁定,已实现更可靠的缓冲区分配策略。

(BZ#987355)

其他缺陷补丁:

*“crm_resource --move”命令设计用于原子资源,无法处理多个节点上存在的克隆资源、主资源或从资源。结果,crm_resource 无法获取足够的信息来移动资源,而且不执行任何操作。已添加“--ban”和“--clear”选项,允许管理员明确指示群集。克隆资源、主资源和从资源现在可在群集内按预期导航。(BZ#902407)

* hacluster 用户帐户没有在系统中保留用户标识 (UID) 或群组标识 (GID) 号。因此,在安装过程中随机选择 UID 和 GID 值。
UID 和 GID 编号 189 以前为 hacluster 保留,现在统一用于所有安装。(BZ#908450)

* 某些群集使用的节点主机名与“uname -n”命令的输出不匹配。因此,crm_standby 和 crm_failcount 命令的默认节点不正确,导致群集忽略管理员的更新。现在帮助程序脚本中使用 crm_node 命令代替 uname 实用工具。因此,群集按预期运行。(BZ#913093)

* 由于返回代码处理错误,当更新后的配置应用失败时,不执行 crm_mon 实用工具的内部恢复逻辑,从而导致断言失败。现在可正确检查返回代码,预期错误状态的恢复也会透明处理。(BZ#951371)

* cman 的自动取消隔离功能在与 Pacemaker 结合使用时失败。Pacemaker 中已添加自动取消隔离支持,不需要的行为不会再发生。(BZ#996850)

建议所有 pacemaker 用户升级这些更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序,并且添加了上述增强。

解决方案

更新受影响的数据包。

另见

https://access.redhat.com/errata/RHSA-2013:1635

https://access.redhat.com/security/cve/cve-2013-0281

插件详情

严重性: Medium

ID: 71012

文件名: redhat-RHSA-2013-1635.nasl

版本: 1.15

类型: local

代理: unix

发布时间: 2013/11/21

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.2

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:pacemaker, p-cpe:/a:redhat:enterprise_linux:pacemaker-cli, p-cpe:/a:redhat:enterprise_linux:pacemaker-cluster-libs, p-cpe:/a:redhat:enterprise_linux:pacemaker-cts, p-cpe:/a:redhat:enterprise_linux:pacemaker-debuginfo, p-cpe:/a:redhat:enterprise_linux:pacemaker-doc, p-cpe:/a:redhat:enterprise_linux:pacemaker-libs, p-cpe:/a:redhat:enterprise_linux:pacemaker-libs-devel, p-cpe:/a:redhat:enterprise_linux:pacemaker-remote, cpe:/o:redhat:enterprise_linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2013/11/21

漏洞发布日期: 2013/11/23

参考资料信息

CVE: CVE-2013-0281

BID: 57965

RHSA: 2013:1635